Új hozzászólás Aktív témák
-
Igazából én azért merek egy-két jelszót használni mindenhez, mert egyszerűen nincsenek olyan fontos adataim, amit ha ellopnak, tragédia történhet. Még a céges jelszavaimmal sem sokra mennek, nem sok kárt lehet vele okozni.
Ha pedig egy szolgáltató értesít egy ilyen adatvesztésről, simán megváltoztatom. -
Soma01
veterán
De legalább meg bírom jegyezni. Olyan mintha egy darab idegen szót kellene megtanulni. Ennyi. És ráadásul nem is szótári szavak. Lehet bele számokat is tenni... Miért lenne gond vele?
Ez szerintem nem rossz: www.newpasswordgenerator.com
pl. "ukisamupik071" egész jó :-)
-
Soma01
veterán
Szerintem nem rossz megoldás egy viszonylag hosszú, könnyen kimondható (kiejthető), véletlenszerűen generált, kis-nagy betűket és számokat is tartalmazó jelszó sem. Mert így megjegyezni sem nehéz annyira.
Vannak erre oldalak ahol generálhat az ember magának ilyeneket. [link] -
tomab04a
aktív tag
Hát mivel párezer forintok vannak rajta, és semmi komoly info nincs rajta, ezért nem tartom valószínűnek, de ha csak 500 karaktert veszel, akkor is lehet számolni hogy évtizedekig számolgathatja az ismeretlen hoszúságú jelszavamat, amibőkl persze,ahogy írtam is még fog hiányozni karakter és azt sem fogja tudni melyik a nagybetű.A másik, hogy nem részletes leírást adtam, van ami azért kimaradt.Nincs itt akkora érték amiért megérné botnetre küldeni ezt.
-
Igazándiból az a probléma, hogy már akkora számítási kapacitást lehet bérelni "fillérekért" a cloudnak köszönhetően, hogy egyre elvadultabb kriptográfiai megoldásokra van szükség. Személy szerint sohasem gondoltam volna korábban - kissé naivan -, hogy a brute force-nak valaha is ekkora szerepe lesz.
-
Nem arra gondoltam, de ha megvan a salt, a felhasználónév, a cleartext password és a hash, akkor azért általában viszonylag egyszerűen rá lehet jönni a saltingra a kód nélkül is. Mondjuk a salting is megvalósítható adatbázis alapon is (stored procedure alapon) - persze célszerű, ha minél kevesebb helyen utazik a titkosítatlan jelszó...
-
Kicsit félreértettem a mondandódat, a saltot persze adatbázisban kell tárolni, de azt hittem, hogy magára a titkosító algoritmusra gondoltál, mint adatbázisban tárolandó adatra.
Ettől függetlenül szerintem a támadások nagy része még mindig SQL injection, és magához a kódhoz ritkábban férnek hozzá.
-
Bármi milyet? Salt-ot? Miért ne tárolnák az authentikációs információt az authentikációs információk mellett?
Amúgy a salt-nak az a lényege, hogy ne legyen statikus és lehetőleg ne legyen determinisztikus - így szerintem a kódban nincs is sok helye...
Persze rainbow tábla ellen már a dinamikus+determinisztikus is véd, de mondjuk ez nem igaz a directory attackra. Amígy meg a kódba van statikusan égetve addig számomra ez secutry throgh obscurity. -
-
Ha adatbázisban van a salt akkor viszonylag könnyen megvan, ha pedig kódban, akkor ismert felhasználónév-jelszó párossal kinyerhető, ha az nem túl bonyolultan van megvalósíva.
Bár ha hozzáfértek az adatbázishoz (és nem egy szimpla sql injection alapú dump volt), akkor a kódhoz is lehet, hogy hozzáfértek. -
sh4d0w
félisten
Mi az az értelemszerű ok, ami miatt mellőzöd a jelszókezelő használatát?
Egyébként meg ha megszerzik a text fájlodat, akkor ott van a támadó előtt a teljes karakterkészlet, amiből kiforce-olhatja a jelszavadat - pláne, hogy a metódust is leírtad, hogyan szeded szét a jelszavadat. Ezzel a Windows is próbálkozott a LanMan protokollnál és nemhogy megnehezítette, hanem megkönnyítette a jelszavak megszerzését.
-
tomab04a
aktív tag
én pl. úgy tárolom a jelszavaim, hogy egy hosszu karaktersorba van 2részletben beletűzve és nem is a helyeses kisnagybetuként, csak kisbetuvel és még karakter is van benne, ami a textben nincs.Persze nem kell nézni a textet ha tudod, csak ugye a facebook(2) ,3 gmail,webtárhely, egy másik mail, egy PH, mmo, 2 netbank felhasználó néha már sok egy kicsit, amikor hazajövök kintről 1-2 hét után és nem ugrik be egyből a mozdulatsor. Így nem sok esély van, hogy ebből kiszedi valaki, ha meg is találja a fájlt
Jelszókezelőt nem szívesen használok én sem, értelmeszerű okokból. -
kenwood
veterán
azert az fontos resze a cikknek,h nem csak az -allitolag - viszonylag konnyen visszafejtheto sha1-en,hanem a salton is at kell ragniuk magukat.
mivel a saltot minden ceg teljesen mashogyan valositja meg,ez hataros a lehetetlennel (hacsak nem fernek hozza a saltot tartalmazo forraskodhoz is). -
#55
Dr. Romano
veterán
Tirexi
#51
Dr. Romano
veterán
Valszeg ezt ő már nem így gondolja.
Ha meg a Skynet elszabadul, majd kihívom rá a sintéreket.Egyébként én a dropboxon tárolom a jelszavaimat egy jelszóval védett tömörített állományban ami egy jelszavas pdf. (és mindnek ugyanaz a jelszava? hahaha... nem)
-
-
jerry311
nagyúr
Ez igy igaz, ha en high value target vagyok, akkor biztosan elkezdenek probalkozni a jelsszoval es vagy annak variansaival.
Ha egy vagyok az 50 milliobol, akkor nem erdekel nem fognak veszodni vele.A masik meg, ugyan nem irtam, de azert ennel egy kicsit bonyolultabb algoritmust is lehet alkalmazni.
Peldaul: elso 3 massalhangzo az url-bol + elso 3 a jelszobol + utolso 6 az urlbol + eredeti jelszo vege
prhSn1verhuper4evaVagy: fogsz egy hosszu jelszot es elkezded "osszeparositani" az URL-lel. Ha massalhangzo jon az URL-ben akkor beirod a karaktert a jelszobol, ha maganhangzo akkor nem.
Van egy csomo egyszeru es hatasos modszer, de senki sem hivja fel ra a felhasznalok figyelmet es az 1.0 user nem is gondol ra...
-
Persze, nem tudja megcsinálni egy Level 0 hacker csak egy Level 1... Mondjuk nem hinném, hogy ezekhez a jelszavakhoz egy script kiddie fért volna hozzá - de végül is mindegy. Amígy sok felhasználó van, aki ugyanazt hazsnálja mindenhol, addig az algoritmizált jelszavú felhasználók kevésbé kell féljenek.
-
-
Ezzel csak az a baj, hogy ha egy helyen feltörik a jelszavadat, akkor jó eséllyel az algoritmusra is rájönnek.
Pl ha a www.someotherportal.com a következtő az azonosítód:
acc: jerry311@gmail.com
pwd: Mickey123SOPAkkor pl. a gmailen simán kipróbálják majd a Mickey123 kezdetű és gmail-ből generált dolgokat, de ugyanezt megteszik majd facebookra, twitterre, linkedinre és az összes ismertebb oldalra. Nem kell hozzá sok próbálkozás és a felhasználók nagy részénél tutira be is jön majd.
-
#39
Drótszamár
őstag
Drótszamár
őstag
Egy kicsit off, de ezt miért adatvesztésnek hívják, miért nem adatlopásnak?
-
#06658560
törölt tag
Sógoromnak a cége írta leö kötelezöen a fb regisztrációt, a munkáját tesztelendö. Ha csak oda regisztrálsz amit ´tenylegesen hazsnálsz akkor is könnyen összejöhet kismillió reg, webes e-mail, cloud, esetleg egy twitter, e-bay, paypal, online banking, im, voip, okosteló miatti akármilyen reg, stb.
-
csibe1
addikt
Nem sűrűn járok tömegközlekedési eszközökkel,a kulcscsomómat meg mindig felcsatolom a bujtatóra.
Az ilyen dolgaimat meg nem hagyom felügyelet nélkül; másrészt nem hinném,hogy kiemelt célpont lennék.
Miért is lenne jobb a jelszómenedzser?(#26) Penge_4
Biztos,ha te mondod.
(#27) Kopi31415
Valami használhatóra gondoltam.Nem hinném,hogy túl sok dns és retina azonosítós kütyüt árulnának.
-
#06658560
törölt tag
"Mivel annyi okos emberke van itt, akkor várnám a bolondbiztos és feltörhetetlen jelszótárolási javaslatokat.Köszi"
Jelenleg maximum a saját dns-ed az talán, plusz retina, plusz ujjlenyomat, plusz értérkép, plusz valami minimum harmincöt karakteres kód együtt, kiegészítve egy passzív rádióvevövel, valamint a szerveroldali azonnali hutelesítést biztosító sms-sen érkezö / monitoron megjelenö, kütyüvel beolvasandó kóddal.
alternatíva, 2D, 3D grafikus kód, valami firka a felhasználótól, aminek x%-ban hasonlítania kell az eredeti, master példányra- mint egy aláírás, kb.
-
Penge_4
veterán
-
sh4d0w
félisten
Rainbow táblával csak gyenge hash algoritmusokat lehet támadni, ha salt vagy iterative hash is van, már nem tudsz mit kezdeni a rainbow táblával. Sőt, ha megfelelően nagy karaktertérrel rendelkezik a jelszavad, már akkor sem lehet használni támadási módszerként, mert olyan mértékben megnő a rainbow table mérete, hogy nem tudod tárolni.
csibe1: és majd amikor a tömegközlekedésben vkinek megtetszik a pendrive-od és megfújja az egész kulcskarikádat, nézhetsz okosan... de elég, ha csak egyszer hagyod felügyelet nélkül a pendrive-odat és bukta.
Használj jelszómenedzsert és nincs szükség az ilyen pendrive-os marhaságokra. Ennél rosszabb ötlet már csak az, ha tükörírásban a homlokodra kiírod a hozzáféréseidet.
-
csibe1
addikt
Amin ilyen dolgokat tárolok arra mindig ügyelek,de nem vagyunk egyformák.
(#18) Kvardlipot
Az mennyivel is jobb és miért?
(#19) Tapsi
Le lehet külön jelszóval védeni a gépen lévő mappát is vagy tömöríteni,jelszóval ellátva.
Mivel annyi okos emberke van itt, akkor várnám a bolondbiztos és feltörhetetlen jelszótárolási javaslatokat.Köszi.
-
jerry311
nagyúr
Vaaa lejart az idolimitem.
Na mindegy: eszembe jutott ez is
(#23) Kopi31415
Jo, hat ekezetes karakterekrol ekezet mindig eltavolitva. 0-O, 1-l, y-z, es sok mas egyeb kiiktatva. Nem egyszeru az ember dolga, ha olyan multinal dolgozik, ahol mindig az adott orszag nyelvevel es billentyuzetkiosztasaval telepitik a szervereket, holott a cegen belul megkovetelt email kommunikacio pl. angol. -
...a támadók képesek lesznek visszafejteni, akkor nagyon súlyos következménye lehet az adatlopásnak.
Épp ezért kell megfelelő hash-algoritmust választani.
#16 csibe1 Karaj ötlet, legalább nem kell végigbogarásznia a logot a hekkernek, elég, ha azt az 1 txt-t lemásolja a gépedről. Egyéb zseniális gondolat?
-
-
-
Iginotus
addikt
Nálam egyszerűbb a képlet.
Van egy bonyolult jelszóm.
Minden fontos dologra ezt használom, és van egy egyszerű lejszó amit minden másra. Forum skype stb amit kb leszarok ha viszik vigyék.
Persze Gmail nálam is ultrabiztonságos kategória, meg a Battle-net accom autentikátorral
És bankhoz van még sms-es kod is.Szóval lehet ezt úgy csinálni, hogy én is jol járjak és ahol kell ott erős legyen ahol meg feltétel ott nem számít.
-
jerry311
nagyúr
válasz
#06658560
#11
üzenetére
Kitalalsz egy algoritmust, ami pl. az oldal nevebol es egy allando jelszobol alkot egy egyedi jelszot.
Igy csak 1 jelszot es 1 algoritmust kell megjegyezned, a tobbit mar osszekombinalod fejben.
Sajnos a tobbsegnek meg ez is bonyolult.A masik amit nem ertek, amikor a cegek nagy IT fejleszteskent bejelentik a singe sign on-t. Tokeletes peldaja annak hogyan kell az IT biztonsag szelevel szembe hugyozni. Aztan csodalkozni, hogy elazik a nadrag szara.
-
#06658560
törölt tag
Az ember nem gép: ha van teszem azt munkahelyen három-négy jelszava, majd magánéletben e-mail, fb, g+, skype, valami cloud, plusz egy-két póker, online felület, ph, index, FT, akármi, pillanatok alatt kifogy a memóriája képességeiböl. nem krix-kraxok memorizálására van az agyunk drótozva. Ha e mellé kell még tudni tíz körüli pint is, akkor már végképp reménytelen a helyzet.
-
Mate
nagyúr
Hát igen, rengeteg ember használja ugyan azt a nicknevet és jelszót az emailtől kezdve, fórumokon át, banki bejelentkezéshez.
Én is ezt csináltam egy darabig, így nem felejtettem el soha a jelszót. Aztán mikor feltörtek egy oldalt, ahol megszerezték az én adataimat is és jelzet a gmail, hogy letiltották, mert gyanús helyről próbáltak bejelentkezni kicsit változtattam a dolgon.
-Új emailcím, meg kétlépcsős bejelentkezés, vagyis sms-ben kapott kód is kell a bejelentkezéshez
-Minden létező oldalon új jelszó és mindenhol más, kis-nagybetűs, szám és speciális karakterekkel tarkított, program által generált 20 karakteres jelszavakat használok. Ha véletlen valamelyik oldalról meg is szerzik, nem mennek vele semmire.Sokaknak tűnhet úgy, hogy ez már túlzott biztonság, de akinek egyszer szerezték meg jelszavát, az tudja, hogy sosem lehet elég óvatos az ember.
Itt jegyzem meg, hogy sokan megcsinálják ez, majd emailcímhez könnyű jelszót használnak, hogy ne felejtsék el és egyik levélbe beleírják az összes többi jelszót.... Innentől kezdve pofonegyszerű a dolog, viszik az emailfiókkal együtt az összes adatot.
-
-
sh4d0w
félisten
Csak nem variálnak vele, az a baj. Közelmúltban több alkalommal is felnyomtak különböző cégeket, szervezeteket - csak ámulok, hogy mennyire síkhülyék az emberek jelszóválasztás terén. Láttam olyat is, hogy generált jelszó volt, alapvetően erős... csak amikor ua. mailszolgáltatónál minden új usernek ua. jelszót generálja le a rendszer, az már ultragáz.
Jelszókezelőt nem szívesen használok én sem, értelmeszerű okokból.
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Új hozzászólás Aktív témák
- HP EliteBook x360 1030 G8 i7 1185g7/16GB/512SSD/TABLET mód
- ASRock Rack EPC621D8A Intel LGA3647 foglalatú ATX-es szerver alaplap CPU coolerrel
- BESZÁMÍTÁS! MSI Z390 i7 8700 32GB DDR4 512GB SSD RTX 2060 Super 8GB Zalman S3 TG Corsair 600W
- BESZÁMÍTÁS! ASUS A620M R5 7500F 32GB DDR5 1TB SSD RTX 4070 SUPER 12GB Zalman M4 Corsair 650W
- BESZÁMÍTÁS! Gigabyte H610M i3 12100F 16GB DDR4 512GB SSD RX 6600 8GB Zalman Z1 Plus ADATA 600W
- Telefon felváráslás!! Samsung Galaxy S22/Samsung Galaxy S22+/Samsung Galaxy S22 Ultra
- Ritkaság! Hibátlan! Intel Core I9 13900KS Processzor!
- Windows, Office licencek kedvező áron, egyenesen a Microsoft-tól - Automata kézbesítés utalással is!
- Villámgyors teljesítmény és 10 év nyugalom!
- Lian Li HydroShift LCD 360R/TL AIO vízhűtés eladó!
Állásajánlatok
Cég: FOTC
Város: Budapest